rule fancybear_seduploader_payload_decode_fns : TAU RU APT
{
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2018-Oct-29"
    description = "Designed to catch Seduploader"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "c3b2c7bbd2aa1e3100b9382ed78dfa0041af764e0e02013acdf282410b302ead, 1140c624fbfe28b9ef19fef2e9aa251adfbe8c157820d5f0356d88b4d80c2c88, ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18" 
    // the followings are own definitions   
    sample_md5 = "AA2CD9D9FC5D196CAA6F8FD5979E3F14"

  strings:
    // fn_decode_string  
    $0x10002f3f = { 55 8B EC 51 53 8B 5D 0C 56 8D 43 01 50 E8 ?? ?? ?? ?? 8B F0 33 C0 89 45 0C 59 85 DB }
    $0x10002f5d = { 57 8B 7D 08 2B FE }
    $0x10002f63 = { 8D 0C 30 C7 45 FC ?? ?? ?? ?? 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 }
    $0x10002f89 = { 8B C6 5E 5B 8B E5 5D C3 }
    // fn_rolling_xor
    $0x10002b9e = { 55 8B EC 56 8B 75 08 85 F6 }
    $0x10002ba9 = { 57 8B 7D 10 85 FF }
    $0x10002bb1 = { 83 7D 0C ?? 53 8B DE }
    $0x10002bbc = { 33 D2 8B C6 F7 75 14 8A 0C 3A 30 0B 43 46 3B 75 0C }
    $0x10002bd4 = { 8B C6 5E 5D C3 }    
  condition:
    all of them
}

rule fancybear_zebrocy_downloader2_cpp_fn_bs_decode : TAU RU APT
{
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-11"
    description = "Designed to catch Zebrocy Downloader Type 2 C++"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "489a1b13b5ec415f24bc4f1b4ed6c6e0bdc50ae95513645a839655bc75d4d9d6, 6f2589be92c2d0fa6050e52fbedb967c2590a8abbc4a9459fb7f78bc52407195"
    // own definitions
    sample_md5 = "CC6E8B89C8FD3DA84CFD747FB7BFEA79"
    function_address = "0x402410"
    function_name = "fn_bs_decode"
  strings:
    $0x402410 = { 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 33 DB 89 7D ?? 89 5D ?? 6A ?? C7 45 ?? ?? ?? ?? ?? 53 8D 45 ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 75 ?? 8B C6 83 FA }
    $0x402475 = { 8B 4D ?? 03 C8 8B C6 83 FA }
    $0x40248d = { 8A 10 8A 19 88 18 40 88 11 3B C1 }
    $0x40249c = { C7 45 ?? ?? ?? ?? ?? 89 5D ?? C6 45 ?? ?? C6 45 ?? ?? 89 5D ?? 39 5D }
    $0x4024b6 = { 83 7D ?? ?? 8B 45 }    
    $0x4024e0 = { 33 DB 6A ?? 53 8D 45 ?? BE ?? ?? ?? ?? 50 8D 4D ?? 89 75 ?? 89 5D ?? 88 5D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 89 77 ?? 89 5F ?? 88 1F 8B 45 ?? 8B 4F ?? 40 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B C1 }
    $0x40251f = { 83 CE ?? 3B C8 }
    $0x402530 = { 8B D1 2B D0 83 FA }
    $0x402539 = { 8B F2 3B F3 }
    $0x40253f = { 8B 57 ?? 83 FA }
    $0x402558 = { 2B CE 2B C8 51 03 DE 03 D8 03 D0 53 52 E8 ?? ?? ?? ?? 8B 47 ?? 2B C6 83 C4 ?? 83 7F ?? ?? 89 47 }
    $0x40257b = { 8B 0F C6 04 01 }
    $0x402583 = { 8B CF C6 04 01 }
    $0x40258b = { 53 8B D8 2B D9 8B F7 E8 }
    $0x402597 = { 33 D2 33 F6 39 57 }
    $0x4025a4 = { 8B 5D ?? 8B 45 ?? 8B C8 83 FB }
    $0x4025c2 = { 0F BE 04 10 83 C0 }
    $0x4025d3 = { 0F BE 04 10 }
    $0x4025e3 = { C0 E0 ?? 88 04 31 8B 45 ?? 8B 5D ?? 8B CB 83 F8 }
    $0x402600 = { 83 F8 ?? 8B C3 }
    $0x40260a = { 0F BE 44 10 ?? 83 C0 }
    $0x402614 = { 83 F8 ?? 8B C3 }
    $0x40261e = { 0F BE 44 10 }
    $0x40262f = { 24 ?? 08 04 31 46 83 C2 ?? 3B 77 }
    $0x40264b = { 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 }    
    $0x40266b = { 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 }
    $0x40267c = { 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 }    
    $0x4026a6 = { 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
    $0x41f770 = { 8B 45 ?? 83 E0 }
    $0x41f77c = { 83 65 ?? ?? 8B 4D }
    $0x41f789 = { 8B 54 24 ?? 8D 42 ?? 8B 4A ?? 33 C8 E8 ?? ?? ?? ?? 8B 4A ?? 33 C8 E8 ?? ?? ?? ?? B8 }
  condition:
    all of them
}

rule fancybear_zebrocy_downloader1_delphi_v1 : TAU RU APT
{
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-11"
    description = "Designed to catch Zebrocy Downloader Type 1 Delphi (variant 1)"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a, 87f363afc9778efc78dd3e0ced112d8d66a09a8924091f0927ed02a7b64850d2"
  strings:  
    // fn_decode_string
    $0x6846c8 = { 55 8B EC 83 C4 ?? 33 C9 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 83 7D }
    $0x684709 = { 8B 45 ?? 83 E8 ?? 8B 00 89 45 }
    $0x684714 = { 8B 45 ?? 85 C0 }
    $0x68471b = { 89 45 ?? C7 45 }
    $0x68472f = { 48 83 C8 ?? 40 }
    $0x684737 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 [0-1] 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 }    
    $0x684784 = { 33 C0 5A 59 59 64 89 10 68 }
    $0x684791 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 }
    $0x6847ae = { 8B E5 5D C3 }
    // hex string
    $hex_cmd = "636D642E657865202F6320" // cmd.exe /c
    $hex_sysinfo = "53595354454D494E464F" // SYSTEMINFO
    $hex_tasklst = "5441534B4C495354" // TASKLIST
    $hex_winword = "77696E776F72642E657865" // winword.exe
  condition:
    all of ($0x684*) and any of ($hex*)
}

rule fancybear_zebrocy_downloader1_delphi_v2 : TAU RU APT
{
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-11"
    description = "Designed to catch Zebrocy Downloader Type 1 Delphi (variant 2)"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "65de07fc6b821d9fd3497cfa64212df2d39935dd515a86eda80d08086b183a3f, cd925e2464d251f02b4d425e301acf276e13eeccbbf5996ade5a6f355802abb7"
  strings:
    // fn_decode_string
    $0x493840 = { 55 8B EC 33 C9 51 51 51 51 53 56 57 8B FA 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C7 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 }
    $0x493875 = { 83 E8 ?? 8B 00 }
    $0x49387a = { 8B F0 85 F6 }
    $0x49388e = { 48 83 C8 ?? 40 }
    $0x493896 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 }
    $0x4938d9 = { 33 C0 5A 59 59 64 89 10 68 }
    $0x4938e6 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 }
    $0x4938fb = { 5F 5E 5B 8B E5 5D C3 }
    // hex string
    $hex_word = "4D6963726F736F667420576F7264" // Microsoft Word
    $hex_cmd = "636D642E657865202F6320" // cmd.exe /c
    $hex_sysinfo = "53595354454D494E464F" // SYSTEMINFO
    $hex_tasklst = "5441534B4C495354" // TASKLIST
    $hex_total = "2C20546F74616C2073697A653A20" // , Total size:
  condition:
    all of ($0x4938*) and any of ($hex*)
}

rule fancybear_zebrocy_downloader1_delphi_v3 : TAU RU APT
{
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-11"
    description = "Designed to catch Zebrocy Downloader Type 1 Delphi (variant 3)"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "03ff895c99555f00792a41e3b014f16ef6b4bb0c74d1fa2237a6a9275e2b2109, 001cf7af29382f4f784fe45df131ca9e14908c6c0717899780f9354b8a5f0090"
  strings:
    // fn_decode_string
    $0x4a1dcc = { 55 8B EC 6A ?? 6A ?? 6A ?? 6A ?? 53 56 57 8B F9 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C7 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 }
    $0x4a1e03 = { 83 E8 ?? 8B 00 }
    $0x4a1e08 = { 8B F0 85 F6 }
    $0x4a1e1c = { 48 83 C8 ?? 40 }
    $0x4a1e24 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 }
    $0x4a1e67 = { 33 C0 5A 59 59 64 89 10 68 }
    $0x4a1e74 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 }
    $0x4a1e89 = { 5F 5E 5B 8B E5 5D C3 }    
    // hex string
    $hex_word = "4D6963726F736F667420576F7264" // Microsoft Word
    $hex_repair = "636F756C64206E6F742062652072657061697265642E" // could not be repaired.
    $hex_entpass = "456E7465722070617373776F726420746F206F70656E2066696C65" // Enter password to open file
  condition:
    all of ($0x4a1*) and any of ($hex*)
}

rule fancybear_zebrocy_downloader2_delphi : TAU RU APT
{
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-11"
    description = "Designed to catch Zebrocy Downloader Type 2 Delphi"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "56e2221cddc9b12cd1021f4da804e52658e515082c8600b6ae77fe628247e002, 427b9130cca7217692673fb0e9017cbc61dc295fcde381360cc893f6e96e4092"
  strings:
    // fn_decode_string
    $0x6846c8 = { 55 8B EC 83 C4 ?? 33 C9 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 83 7D }
    $0x684709 = { 8B 45 ?? 83 E8 ?? 8B 00 89 45 }
    $0x684714 = { 8B 45 ?? 85 C0 }
    $0x68471b = { 89 45 ?? C7 45 }
    $0x68472f = { 48 83 C8 ?? 40 }
    $0x684737 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 [0-1] 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 }    
    $0x684784 = { 33 C0 5A 59 59 64 89 10 68 }
    $0x684791 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 }
    $0x6847ae = { 8B E5 5D C3 }
    // fn_send_HTTP_POST
    $0x652178 = { 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 8B F9 8B F2 89 45 ?? 8B 5D ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 80 78 }
    $0x6521b5 = { 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 8B 40 ?? 8B CF 8B D6 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 B9 ?? ?? ?? ?? E8 }
    $0x6521ee = { 8B 45 ?? 50 8B 45 ?? 50 8B 45 ?? 50 53 8B 45 ?? 8B 40 ?? 8B CF 8B D6 E8 ?? ?? ?? ?? 8B 0B 8B 55 ?? 8B 45 ?? E8 }
    $0x652217 = { 33 C0 5A 59 59 64 89 10 }
    $0x652245 = { 33 C0 5A 59 59 64 89 10 68 }
    $0x652252 = { 8D 45 ?? E8 ?? ?? ?? ?? C3 }
    $0x652262 = { 5F 5E 5B 59 59 5D C2 }
    // fn_CreateDir
    $0x425760 = { 55 8B EC 33 C9 51 51 51 51 53 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 83 7D }
    $0x42578b = { 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 42 ?? ?? ?? ?? ?? 8B C2 E8 }
    $0x4257ad = { 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 }
    $0x4257d1 = { 8B 45 ?? 85 C0 }
    $0x4257d8 = { 83 E8 ?? 8B 00 }
    $0x4257e6 = { 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 0F 94 C0 }
    $0x425803 = { 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 }
    $0x42580f = { 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 }
    $0x425826 = { 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 }
    $0x425838 = { 33 C0 5A 59 59 64 89 10 68 }
    $0x425845 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 }
    $0x42585a = { 8B C3 5B 8B E5 5D C3 }    
  condition:
    all of them
}

rule fancybear_zebrocy_downloader1_go {
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-15"
    description = "Designed to catch Zebrocy Downloader Type 1 Go"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "fcf03bf5ef4babce577dd13483391344e957fd2c855624c9f0573880b8cba62e"
  strings:
    // fn_main_decode_string
    $0x5c8670 = { 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 }
    $0x5c8682 = { 83 EC ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 83 C4 ?? C3 }
    // hex string
    $hex_wmi = "776D6963206C6F676963616C6469736B206765742063617074696F6E2C6465736372697074696F6E2C6472697665747970652C70726F76696465726E616D652C73697A65" // wmic logicaldisk get caption,description,drivetype,providername,size
    $hex_sysinfo = "73797374656D696E666F" // systeminfo
    $hex_tasklst = "7461736B6C697374" // tasklist
  condition:
    all of ($0x5c8*) and 2 of ($hex*)
}

rule fancybear_zebrocy_downloader2_go {
  meta:
    author = "CarbonBlack Threat Research" // tharuyama
    date = "2019-Mar-15"
    description = "Designed to catch Zebrocy Downloader Type 2 Go"
    rule_version = 1
	yara_version = "3.8.1"
	Confidence = "Prod"
	Priority = "High"
    TLP = "White"
    exemplar_hashes = "50d610226aa646dd643fab350b48219626918305aaa86f9dbd356c78a19204cc"
  strings:
    // fn_main_save_file
    $0x5aeaf0 = { 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 }
    $0x5aeb0a = { 81 EC ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 }
    $0x5aeb62 = { 89 44 24 ?? 89 4C 24 ?? 8B 01 8B 51 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 89 14 24 8D 9C 24 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 }
    $0x5aec0a = { 8B 4C 24 ?? 0F B7 11 66 81 FA }
    $0x5aec18 = { 0F B6 51 ?? 80 FA }
    $0x5aec25 = { 8B 54 24 ?? 83 FA }
    $0x5aec32 = { 8B 44 24 ?? 8B 48 ?? 8B 50 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 89 14 24 8D 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 8D 44 24 ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 31 DB 31 ED }
    $0x5aeccb = { 89 54 24 ?? 8D 04 D1 8B 70 ?? 8B 00 89 44 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 50 ?? 8B 6C 24 ?? 8B 5C 24 ?? 8B 44 24 ?? 8B 4C 24 }
    $0x5aed15 = { 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 85 DB }
    $0x5aed45 = { 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 31 D2 31 DB 31 ED }
    $0x5aed86 = { 89 5C 24 ?? 89 6C 24 ?? 89 54 24 ?? 8D 0C D0 89 4C 24 ?? 89 4C 24 ?? 8D 1D ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D 44 24 ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 08 8B 40 ?? 89 4C 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 50 ?? 8B 5C 24 ?? 8B 6C 24 ?? 8B 44 24 ?? 8B 4C 24 }
    $0x5aee2d = { 8D 71 ?? 39 F2 }
    $0x5aee34 = { C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 39 CA }
    $0x5aee51 = { 89 1C 24 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 }
    $0x5aee93 = { 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 }
    $0x5aeeea = { 90 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 }
    $0x5aeef7 = { C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 0C 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 }
    $0x5aef3c = { 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 }
    // fn_main_os_Getenv
    $0x5ae8d0 = { 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 }
    $0x5ae8e6 = { 83 EC ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 8B 54 24 ?? 89 54 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 8B 54 24 ?? 89 54 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 8B 54 24 ?? 89 54 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 83 C4 ?? C3 }
  condition:
    all of them    
}
